1 BAKGRUND

1.1 Detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) gäller när Kivra Sverige AB, org. nr 556917-3544, eller annat bolag inom samma koncern som Kivra Sverige AB ("Kivra”) tillhandahåller en Tjänst som beskrivs i Kivras allmänna villkor för verifieringstjänsten (“Allmänna Villkor”).

1.2 Vid tillhandahållande av tillämplig Tjänst enligt de Allmänna Villkoren kommer Kivra att behandla personuppgifter i egenskap av personuppgiftsbiträde åt kontrollanten. Kontrollanten är personuppgiftsansvarig för samma behandlingar.

1.3 Om och i den mån annat bolag i samma koncern som Kontrollanten är att betrakta som personuppgiftsansvarig (ensamt eller tillsammans med Kontrollanten) för behandling som omfattas av detta Personuppgiftsbiträdesavtal, bekräftar Kontrollanten härmed att man inhämtat nödvändiga tillstånd för att ingå Personuppgiftsbiträdesavtalet även för sådant bolags räkning.

2 DEFINITIONER

2.1 De definitioner och termer som används i detta Personuppgiftsbiträdesavtal ska ha samma betydelse och innebörd som de definitioner och termer som anges i de Allmänna Villkoren om inte annat framkommer.

2.2 Följande begrepp ska ha nedan angiven betydelse om inte omständigheterna tydligt föranleder något annat (och termer som inte är definierade i Personuppgiftsbiträdesavtalet såsom t.ex. "personuppgiftsansvarig”, ”personuppgiftsbiträde”, ”personuppgift”, ”behandling”, "personuppgiftsincident” ska ha den betydelse som framgår av Dataskyddsförordningen):

”Dataskyddsförordningen” avser Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

”Registrerad” avser en fysisk person vars personuppgifter ingår i Uppgifterna. ”Tillämplig Dataskyddslagstiftning” avser: (i) Dataskyddsförordningen och ersättande rättsakter; (ii) tillämplig svensk lag avseende dataskydd; och (iii) till i) och ii) ovan hörande förordningar och föreskrifter som utfärdats av Tillsynsmyndighet och som är tillämpliga på Parts verksamhet.

”Tillsynsmyndighet” avser Integritetsskyddsmyndigheten och i förekommande fall annan behörig tillsynsmyndighet som med stöd av lag utövar tillsyn över Parts verksamhet.

”Uppgifterna” avser de personuppgifter som överförs till, lagras eller på annat sätt behandlas av Kivra på uppdrag av Kontrollanten enligt detta Personuppgiftsbiträdesavtal. Vilka typer av personuppgifter som omfattas anges i Specifikationen.

3 INSTRUKTIONER

3.1 Personuppgiftsbiträdesavtalet består av detta dokument och Specifikationen. I Specifikationen finns en översikt över vilka behandlingar som sker, vilka ändamål som finns med behandlingen; vilka Uppgifter som behandlas; vilka kategorier av Registrerade som omfattas; hur länge Uppgifterna sparas; samt eventuella underbiträden och var denna behandling i sådana fall är lokaliserad.

3.2 Kontrollanten ger Kivra tillstånd att överföra Uppgifter till tredje part i de fall som krävs för att uppfylla syftet med detta Personuppgiftsbiträdesavtal, inbegripet dess instruktioner, och/eller för att uppfylla en rättslig förpliktelse. Detta inkluderar, men är inte begränsat till, överföring av Uppgifter till leverantörer, samarbetspartners och myndigheter.

3.3 Kivra får inte behandla Uppgifterna på något annat sätt, för andra ändamål eller enligt andra instruktioner än de som anges i detta Personuppgiftsbiträdesavtal, Kontrollantens instruktioner och Tillämplig Dataskyddslagstiftning. För det fall att Kivra bedömer att det saknas instruktioner som är nödvändiga för att genomföra uppdraget enligt vad som sägs i detta Personuppgiftsbiträdesavtal, eller om Kivra uppmärksammar att instruktionerna strider mot Tillämplig Dataskyddslagstiftning, ska Kivra omedelbart informera Kontrollanten om sin inställning samt invänta vidare instruktioner från Kontrollanten. Kivra är således inte skyldig att följa en instruktion för det fall Kivra anser att instruktionen strider mot Tillämplig Dataskyddslagstiftning.

4 SÄKERHET - TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER

4.1 Kivra är skyldigt att vidta sådana lämpliga tekniska och organisatoriska åtgärder som uppfyller kraven i Tillämplig Dataskyddslagstiftning, särskilt artikel 32 i Dataskyddsförordningen, och därigenom säkerställa att de Registrerades rättigheter skyddas. Sådana åtgärder innebär bland annat att Kivra skyddar Uppgifterna mot obehörig åtkomst, förstörelse eller ändring.

4.2 Kivra åtar sig att säkerställa att Kivra har sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i Tillämplig Dataskyddslagstiftning, särskilt vad gäller kraven på säkerhet enligt ovan. Kivra åtar sig även att de åtgärder som vidtas kommer att ses över och uppdateras vid behov.

5 INFORMATIONSPLIKT OCH ASSISTANS

5.1 Kivra ska utan onödigt dröjsmål efter det att Kivra upptäckt fullbordade fall av eller försök till obehörig åtkomst, förstörelse eller ändring av Uppgifterna och andra personuppgiftsincidenter, informera Kontrollanten om detta. För det fall Tjänsten, eller delar av Tjänsten, är otillgänglig av andra anledningar än nyssnämnda händelser, exempelvis vid interna systemstörningar, kommer information därom att meddelas direkt i Tjänsten och kivra.se.

5.2 När Kivra underrättar Kontrollanten enligt punkt 5.1 ovan ska underrättelsen innehålla information om:

a) personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet Registrerade som berörs samt de kategorier av och det ungefärliga antalet Uppgifter som berörs,

b) namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,

c) de sannolika konsekvenserna av personuppgiftsincidenten, och

d) de åtgärder som Kivra har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

5.3 Om och i den utsträckning det inte är möjligt att tillhandahålla information enligt punkt 5.2 samtidigt, får informationen tillhandahållas i omgångar, dock utan ytterligare onödiga dröjsmål.

5.4 Kivra ska bistå och samarbeta med Kontrollanten i en skälig omfattning med att se till att skyldigheterna enligt artiklarna 32–36 Dataskyddsförordningen fullgörs, med beaktande av typen av behandling och den information som Kivra har att tillgå samt för att säkerställa att Registrerades rättigheter enligt Tillämplig Dataskyddslagstiftning kan uppfyllas.

6 GRANSKNING

6.1 Kontrollanten har rätt att själv eller genom en oberoende tredje man genomföra kontroller av Kivras behandling av Uppgifterna för att försäkra sig om att vad som anges i Tillämplig Dataskyddslagstiftning, detta Personuppgiftsbiträdesavtalet och av de instruktioner som utfärdats efterlevs. Om annat inte följer av särskild separat skriftlig överenskommelse står respektive Part sina egna kostnader vid granskning och för tillhandahållandet av information enligt denna punkt 6.1.

6.2 Kivra ska i skälig utsträckning bidra till sådana kontroller och granskningar och på begäran tillhandahålla Kontrollanten den assistans och den dokumentation som rimligen krävs för detta.

6.3 Om Kontrollanten anlitar tredje part att utföra inspektion av Kivras behandling av Uppgifter för Kontrollantens räkning ska Kontrollanten tillse att sådan tredje part innan eventuell inspektion undertecknar en ändamålsenlig sekretessförbindelse att inte röja uppgift för tredje man.

6.4 Insyn för granskning, informationslämning och dylikt ska förläggas till tidpunkter på dygnet och i övrigt ske på det sätt som medför minsta möjliga påverkan på Kivras verksamhet. Granskning av Kivra ska ske med iakttagande av de säkerhetsåtgärder som Kivra uppställer förutsatt att åtgärderna inte förhindrar eller medför betydande svårigheter att genomföra granskningen.

7 ANLITANDE AV UNDERBITRÄDEN

7.1 Kontrollanten godkänner härmed användandet av de av Kivra redan anlitade underbiträden som framgår av Specifikationen till detta Personuppgiftsbiträdesavtal.

7.2 Kivra förbehåller sig rätten att när som helst byta ut och/eller anlita nya underbiträden. Eftersom Kontrollanten behöver acceptera de Allmänna Villkoren inklusive detta Personuppgiftsbiträdesavtal varje gång Kontrollanten nyttjar Verifieringstjänsten ansvarar Kontrollanten för att ta del av vid var tid gällande Specifikation med förteckning över underbiträden.

7.3 Kivra åtar sig att teckna ett skriftligt avtal med befintliga och nya underbiträden som reglerar den behandling som underbiträdet utför. I fråga om dataskydd ska avtalet ålägga underbiträdet samma skyldigheter som åläggs Kivra i detta Personuppgiftsbiträdesavtal. För det fall underbiträdet inte uppfyller sina skyldigheter i fråga om behandlingen ska Kivra förbli ansvarig gentemot Kontrollanten för underbiträdets uppfyllande av sina skyldigheter enligt detta Personuppgiftsbiträdesavtal.

7.4 Vid eventuella överföringar av Uppgifter till underbiträden utanför EU/EES ska Kivra tillse att överföringen sker till länder som, av EU-kommissionen beslutats, innehar en adekvat skyddsnivå eller vid behov ingå EU-kommissionens vid var tid gällande standardavtalsklausuler.

8 ANSVAR

8.1 Om Part (inklusive den som arbetar under Parts ledning eller av Part anlitat underbiträde) agerar i strid med detta Personuppgiftsbiträdesavtal eller Tillämplig Dataskyddslagstiftning ska sådan Part hålla den andre Parten skadeslös för den eventuella skada som sådant otillåtet agerande orsakat.

8.2 Kivra ska ansvara för skada uppkommen till följd av behandling av Uppgifter endast om Kivra inte har fullgjort de skyldigheter enligt detta Personuppgiftsbiträdesavtal som specifikt riktar sig till Kivra. Kivra ska undgå ansvar om det visar att Kivra inte på något sätt är ansvarigt för den händelse som orsakade skadan.

8.3 Parts rätt till ersättning enligt punkt 8.1 är begränsad enligt vad som framgår i tillämpliga Allmänna Villkor.

8.4 Sanktionsavgifter enligt artikel 83 i Dataskyddsförordningen, eller 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska bäras av den Part som påförts en sådan avgift av Tillsynsmyndighet.

8.5 Om endera Part får kännedom om omständighet som kan leda till skada för någon annan Part ska denne omedelbart informera den andra Parten om förhållandet och aktivt arbeta tillsammans för att förhindra och minimera sådan skada.

9 SEKRETESS

9.1 Part ska se till att de personer som har åtkomst till Uppgifterna eller konfidentiell information har åtagit sig att iaktta sekretess eller omfattas av lagstadgad tystnadsplikt i enlighet med kraven i Tillämplig Dataskyddslagstiftning samt är informerade om hur de får behandla Uppgifterna.

10 ÄNDRINGAR OCH MEDDELANDEN

10.1 Kontrollanten får ändra innehållet i detta Personuppgiftsbiträdesavtal endast i den mån så erfordras för att tillgodose krav som följer av Tillämplig Dataskyddslagstiftning.

10.2 Eventuella justeringar av Kontrollantens instruktioner som närmare beskrivs i Specifikationen ska meddelas av Kontrollanten till Kivra inom skälig tid i enlighet med punkt 10.4 så att nödvändiga ändringar rutiner kan genomföras. Kivra har rätt att avsäga sig uppdraget för det fall att Kontrollantens instruktioner inte rimligen kan uppfyllas.

10.3 Kivra förbehåller sig rätten att när som helst ändra och/eller göra tillägg i detta Personuppgiftsbiträdesavtal. Eftersom Kontrollanten behöver acceptera de Allmänna Villkoren inklusive detta Personuppgiftsbiträdesavtal varje gång Kontrollanten nyttjar Verifieringstjänsten ansvarar Kontrollanten för att ta del av vid var tid gällande Personuppgiftsbiträdesavtal.

10.4 Alla meddelanden och annan kommunikation enligt detta Personuppgiftsbiträdesavtal från en Kontrollant till Kivra ska ske skriftligen genom e-post till dataskydd@kivra.se. Alla meddelanden och annan kommunikation från Kivra till Kontrollanten ska till de kontaktuppgifter som Kontrollanten har registrerat hos Bolagsverket. Ansvaret för att hålla sina kontaktuppgifter uppdaterade vilar på respektive Part.

11 AVTALSTID OCH ÅTGÄRDER VID UPPHÖRANDE

11.1 Personuppgiftsbiträdesavtalet gäller från den tidpunkt när Kontrollanten registrerar sig för Tjänsten hos Kivra och så länge som Kivra behandlar Uppgifter för Kontrollantens räkning.

12 TILLÄMPLIG LAG OCH TVISTLÖSNING

12.1 Tillämplig lag och tvistlösning följer av de Allmänna Villkoren.